빈발하는 안심클릭 사고, 문제는…

이미 수차례에 걸쳐서 안심클릭을 비롯한 카드의 온라인 결제 체계가 허술하다고 말씀드렸습니다. 오만가지 키보드보안에, 해킹방지에 암호까지 해봤지만 결국 오늘 일제히 보도된바와 같이 뚫리고 말았지요.

사실 한국버추얼페이먼트(인터넷 안전결제를 만든 업체;BC카드 국민카드 등)한테 돈을 받아먹었는지, 일제히 안심클릭을 까고 있지만, 안심클릭(3D-Secure)가 뚫린것은 아닙니다. 사실 안심클릭을 쓸때 이래저래 깔라고 하는게 많아서 그렇지 안심클릭 기술 자체는 세계적인 표준으로, 비자카드,마스터카드, JCB인터내셔널 등 거의 대부분의 국제카드사가 제공하는 기술입니다.

물론 완전한 기술이라는 것을 의미하는 것은 아닙니다. ‘와~ 세계적인 카드사가 미는 기술이니까 킹왕짱!’ 이란거 아닙니다. 여러가지 장단이 있고, 이에 대한 기술적인 상세에 관해서는 Wikipedia의 3D-Secure 항목을 참조해주십시오.  

여하튼 제가 하고 싶은건 이겁니다. 아무리 철통같은 보안책을 만들어봐야, 사용자가 무경계, 무자각이라면 대책이 없다는 것입니다.  이 사건에 관해서 YTN의 경우, 해킹에 의해서 노출당했다고 하고 있고, SBS의 경우에는 좀 현실적으로 ‘해킹 사이트’에 의해 노출되었다 라는데요(즉 한마디로 피싱입니다).

즉, 한마디로 해킹설과 피싱설으로 나뉘는데요. 둘 중 어느 하나가 됐던 안심클릭 자체의 문제는 아닙니다. 한발 더 나아가서, 사용자가 주의를 가했다면 전혀 발생하지 않았을 인재(人災)라는 것입니다. 왜 그럴까요?

우선 해킹설을 봅시다, 차라리 모든 국민에게 공짜 백신을 줘라에서도 언급했다시피, 일단 대다수의 국민들이 백신을 제대로 깔지도 않고 있고, 깔아놓고도 검사 조차도 안하는 경우가 태반입니다. 그저 결제나 은행 접속시에 나오는 백신이나 방화벽 하나만 믿고 앉아 있는게 현실이죠. 태반이 P2P 등을 통해서 정체가 불분명한 프로그램들을 다운받아서 아무런 의심없이 실행하고, 웹에서 받는 파일이 과연 안전한것인지, 설치하는 ActiveX가 정당한것인지, 접속하려는 사이트가 안전한 사이트인지 조차도 따지지 않습니다. 그러다보니 해킹툴 한둘 묻어서 오지 않는게 이상한 상황입니다.

그냥 깔라면 까는게 버릇이 되어 버렸습니다. 이건 사실 IT 및 금융업계의 탓도 적지 않습니다. 뭐든 하려면 일단 ‘깔아야 하니까’ 그냥 진위 여부고 나발이고 없이 그냥 노란 줄이 나오면 ‘이 컴퓨터에 모든 사용자를 위해 설치’를 클릭하고 예를 눌러 설치를 하라고 세뇌를 시키고 있습니다. 사이트 인증서나 보안 서명 같은건 하지 않는 업체도 수두룩하고, 하더라도 이걸 확인하라고 당부하는 업체 또한 한군데도 못봤습니다.

피싱설도 여기에 연장선상입니다. 해외의 금융업체 사이트를 가면 화면에 이런게 나옵니다. 혹시 보신적 있는지 모르겠습니다. 없으신 분이 아마 구할은 될겁니다. 왜냐면 우리나라에서 이걸 하는 금융기관은 저 역시 한군데밖에 못봤기 때문입니다.

사용자 삽입 이미지이게 뭐냐면 바로 사이트인증서 표시입니다. Verisign이라는 서버 인증서 회사가 ‘이 사이트는 이 회사의 사이트가 맞습니다’라고 인증해주는거죠. 다시 말씀드리지만, 이걸 하는 국내금융기관은 현 시점에서 발견하기로는 HSBC은행 뿐입니다(캡처한 사이트는 HSBC 은행 인터넷 뱅킹입니다). 이런 안전장치가 IE7 이후 버전을 비롯한 최신 브라우저에 기본으로 내장되어 있습니다. 물론 IE6에는 없습니다. 사실 그 버전이 나올때는 피싱 이라는 단어 자체가 존재도 안하던 시절입니다. No IE6를 개발자만 편하자고 외치는게 아닙니다. 제발 새 버전 까세요.

그리고 앞서서도 V3D Secure(안심클릭)이 완벽하지 않다고 하고 있는데 그 중요한 이유중 하나가 안심클릭 정보가 상점 혹은 은행 사이트가 아닌 별도의 사이트(기술적인 용어로 ACS 서버라고 합니다)를 통해 입력되는데, 그 주소가 경우에 따라(우리나라는 안그렇습니다만), 카드 회사 혹은 은행 주소가 아니라 피싱의 우려가 있다는 것입니다.

기본적으로 통장 비밀번호나 집 대문 잠금장치의 비밀번호를 아무대나 흘리고 다니지 않듯이, 자신이 인터넷으로 무언가 중요한 금융 정보를 사용한다면 적어도 자신이 믿을 수 있는 사이트에서 입력하고 있는가? 라는 기본적인 생각은 해야합니다. 특히, 안심클릭의 경우 본인확인메시지가 있습니다. 제가 아는 지인의 경우 이 메시지를 입력은 하라고 하니까 입력은 하는데 귀찮으니 딱 한글자 치고 말았더군요. 하지만 저는 말이 안되는 문장을 적어 놨습니다.

 
이게 피싱 방지용 이거든요? 간단하게 말해서 카드사에 안심클릭을 등록했을때 자신만이 알만한 문장을 입력해 두고 나중에 안심클릭창이 뜰때 이게 정말 카드사 안심클릭 창인지 확인하라고 만들어 둔겁니다. 카드사가 해킹되지 않은 이상, 본인이 카드사에 입력해둔 문장이 뜰리는 없으니까요. 만약 정말 그게 나왔는데 피싱이다 싶으면, 이땐 안심클릭 문제가 아니라 금융회사가 해킹당한 케이스니 정말 난리입니다만. 어찌됐던 이 또한 알려주는 회사가 없습니다. 그냥 치라고 하니 ‘아 이거 뭐야 짜증나게’ 하고 대충 대충 치고 넘어가지 않을 수가 없는겁니다.  더불어, 이 역시 확인하는 개인은 극히 소수에 불과하죠.

즉, 모든것을 요약하면, 안심클릭 보안이 문제가 아니라, 사용자가 바보같을 정도로 무자각하기 때문이며, 그를 일깨울 금융업체가 할 짓을 태만히 하고 있기 때문입니다. 언론은 뭐하는겁니까? 정말 돈먹은겁니까?  

덧. 뉴스데스크를 보니 보안장치를 추가하겠다는군요. 또 뭘 할겁니까… 또 뚫린다니깐요. 아, 그리고 수사결과, 카드사 잘못이면 보상이 되지만 본인 취급소홀이면 보상 못받는데요. 인터넷 카드 결제 자유화, 할 수 있어! 에서 분명히 말했죠? 카드정보가 뚫릴지언데 비밀번호 ‘따위’가 노출 안될리가 없고, 그럴때는 카드사는 배째라 할거라고…  


Posted

in

by